个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
25
4
我有一个客户端 React 应用程序和一个 Rails API,React 应用程序从中获取数据。
如您所料,我只希望我的 React 应用程序能够从 API 获取数据,而世界其他地方不应该能够从它接收数据。
尽管进行了大量搜索,我仍未找到保护两个应用程序之间通信安全的最佳方法。
我读过有关 JWT token 和基于 cookie 的 session 身份验证的内容,但大多数文章似乎都侧重于用户身份验证(即登录/注销),而不仅仅是两个应用程序之间的通信。
这两个应用程序将共享同一个域,那么依靠 Cross Origin 来保护通信就足够了吗?
如果有任何建议,我们将不胜感激。
最佳答案
如果我答对了你的问题,你希望你的客户端(React App)成为唯一可以访问你的服务器的客户端。
作为解决方案,您必须结合使用 CORS 和 JWT 授权,因此我建议使用严格的 CORS 以仅允许您的 React 应用程序域调用服务器。为此,我通常使用 CORS npm 模块和 configure我服务器上的来源,或者你也可以自己做。
var express = require('express')
var cors = require('cors')
var app = express()
var corsOptions = {
origin: 'http://example.com',
optionsSuccessStatus: 200 // some legacy browsers (IE11, various SmartTVs) choke on 204
}
上面的代码只允许来自 example.com 的请求被服务器接受或者看看 this code更动态的白名单和黑名单方法。
现在回到 JWT,它只是一个 json 加密和解密 token ,可以跨 API 请求共享以对用户进行身份验证和授权。
例如,您可以在 JWT 中存储用户的电子邮件、角色和昵称等信息,并在每个 API 请求中发送这个加密的 JWT,服务器授权此请求,如果为真则转发到请求的 API。这种授权和转发过程通常使用“拦截器”模式实现,其中中间件(Passport oAuth)在每次 API 调用之前进行检查和授权。
执行上述两件事将确保只有具有您允许与服务器通信的有效 JWT token 和域地址的客户端。这个客户端将成为您的 React 应用程序,因为它是唯一具有正确 JWT 和原始地址的应用程序。
所以现在您的 React 应用程序应该只确保在 API 调用(post/get/put)中传递适当的 JWT token ,很可能在 API 请求的 header 中,您可以有一个 API 帮助程序服务来执行此操作为您并将其导入到您进行 API 调用的组件中。并且您的 Node 服务器将实现通行证中间件模式来授权此 JWT 并过滤未授权的请求。
如果您的 React 应用程序没有登录名,JWT 也可以是客户端 ID,它将您的客户端识别为合法。就像用户登录一样,你可以让你的应用程序使用 secret 客户端 ID 等数据调用服务器。这将返回一个 JWT token 。或者,您可以预先生成一个 JWT token ,并在它第一次加载时 react 应用程序存储它,并通过设置 TTL 和另一个配置,您可以检查正在调用您的服务器的客户端是旧的还是新的或其他一些假客户。
HTH
关于ruby-on-rails - 如何保护客户端应用程序( react )和 API 通信,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49335468/
25
4
0
sanitize 是什么意思在 Rails 中是什么意思? 我正在阅读 CanCanCan 的文档.它说: When using strong_parameters or Rails 4+, you
在过去的几个月里,我感觉自己对 Ruby on Rails (RoR) 开发的了解达到了极限。我为大/小客户和 friend /爱好项目开发了大大小小的应用程序。我知道如何开发这些应用程序,但开始感觉
我昨天参加了一个关于扩展 Rails 的聚会,其中一个主题是 Hexagonal Rails。然而,我只做了一年的 Rails,对 MVC 结构非常满意(也许太舒服了),所以我不太了解适配器和消息队列
我使用多个 Rails 应用程序,一些在 Rails 3.2/Ruby 2.0 上,一些在 Rails 2.3/Ruby 1.8.7 上。 他们的共同点是,随着他们的成长和添加更多的依赖项/ gem
这个问题在这里已经有了答案: Using Rails-UJS in JS modules (Rails 6 with webpacker) (5 个答案) 关闭 3 年前。 我正在尝试使用 UJS
我正在开发一个当前使用 Rails 1.2 的 Rails 应用程序,所以我现在离最新的稳定版本(Rails 2.3)还有很长的路要走。 我应该如何进行迁移到更新版本的 Rails 的过程? 我应该一
尝试按照 Ryan Bates Backbone.js 教程构建抽奖应用程序,但我已经遇到了第一段代码的问题。在 application.js 的 init 函数中,他初始化了 Raffler 路由的
我正在使用 Rails 3.2 并且我有一个数据库表,我想在其中找到符合以下条件的所有行: a = true and b = true and ( 0 true, :b =>
我有一个用户类和一个联系人,其中联系人是用户的子类。这两个类都存储在用户表中。 我的联系人可能有也可能没有电子邮件地址,而我的用户需要一个电子邮件地址(我的用户模型定义中有 validates_pre
我正在编写一个教程,我在其中演示了一些 rails 命令。在我的机器上 rails和 script/rails两者都同样有效。有“首选”形式吗?两者中哪一个更普遍? 最佳答案 当您运行 rails 时
我正在寻找有关通过我的应用程序前进的最佳方式的建议,这是我首次开始集成Elasticsearch。我是一名初学者,但是热衷于深入研究,以便原谅任何明显的错误! 我遵循了http://www.sitep
我刚刚用 Rails new 启动了一个新的 Rails 应用程序,将默认数据库设置更改为 PostgresSQL。我用 bin/rails s 启动服务器,结果很奇怪 2016-04-21 05:0
我收到一个参数并希望它是这样的字符串: "abc,efg" 或者像这样的数组 ["abc","efg"] 在第一种情况下,我想将它转换成一个数组,什么是好的方法? 这是我的想法 if params[:
我刚刚用 Rails new 启动了一个新的 Rails 应用程序,将默认数据库设置更改为 PostgresSQL。我用 bin/rails s 启动服务器,结果很奇怪 2016-04-21 05:0
我收到一个参数并希望它是这样的字符串: "abc,efg" 或者像这样的数组 ["abc","efg"] 在第一种情况下,我想将它转换成一个数组,什么是好的方法? 这是我的想法 if params[:
我有 Rails 4,这是我的默认版本(我仍然希望它是)。但我不想在我的电脑上添加 rails 3.2。在以下命令中:gem install rails -v 3.2.16 我有这个警告: railt
您好,我想使用 Sheevaplug 构建一个“Rails Brick”来自 Marvell(操作系统是开箱即用的 Ubuntu,但您可以在其上安装其他发行版)。它将成为家庭服务器和静音、低成本(99
我需要能够从 Rails 控制台发送我的 Rails 应用程序的 Postgres 数据库中所有未接受的邀请。 (我有一个名为 Invitations 的表,其中包含一个名为 accepted 的 b
validate :cannot_modify_if_locked, on: :update def cannot_modify_if_locked if self.locked erro
我正在学习教程(学习 Rails 播客),需要更改以下路由语法,以便它与 Rails 3.0 兼容。谁能帮忙? map.view_page ':name', :controller => 'viewe
我是一名优秀的程序员,十分优秀!